《网络空间安全法律法规》课件第5章.pptx
《《网络空间安全法律法规》课件第5章.pptx》由会员分享,可在线阅读,更多相关《《网络空间安全法律法规》课件第5章.pptx(140页珍藏版)》请在文库网上搜索。
1、第5章 网络空间安全个人信息保护法律法规第第5章章 网络空间安全个人网络空间安全个人信息保护信息保护法律法规法律法规 5.1 网络安全法中对个人信息的保护网络安全法中对个人信息的保护解读解读 5.2 全国人民代表大会常务委员会关于加强全国人民代表大会常务委员会关于加强网络网络信息信息保护的决定保护的决定解读解读 5.3 两高关于办理侵犯公民个人信息刑事两高关于办理侵犯公民个人信息刑事案件案件适用适用法律若干问题的解释法律若干问题的解释解读解读 5.4 民法及相关司法解释中关于公民个人民法及相关司法解释中关于公民个人信息信息保护法保护法律规定律规定解读解读 5.5 其他个人信息相关法律其他个人信
2、息相关法律解读解读 5.6 案例分析案例分析第5章 网络空间安全个人信息保护法律法规5.1 5.1 网络安全法中对个人信息的保护网络安全法中对个人信息的保护解读解读中华人民共和国网络安全法中华人民共和国网络安全法(节选节选)(2016(2016年年1111月月7 7日第十二届全国人民代表大会常务委员会第二日第十二届全国人民代表大会常务委员会第二十四次会议通过十四次会议通过)第三章第三章 网络运行安全网络运行安全第一节第一节 一般一般规定规定 第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立
3、即采取补救措施,按照规定及时告知用户并向有关主管部门报告。第5章 网络空间安全个人信息保护法律法规【重点法条解读重点法条解读】本条第三款规定了网络产品、网络服务提供者收集用户信息应当遵守的规则,明确了只要涉及收集用户信息的,均须获得用户的同意。但对于用户个人信息和非个人信息设置了不同程度的规则要求。涉及用户个人信息的收集行为还须遵守个人信息保护的相关规定。从现行的法律,行政法规的规定来看,该规定包括必要原则、目的明确原则,以及更高的透明度要求、更高的安全保障义务要求等。第5章 网络空间安全个人信息保护法律法规此外,需要注意的是,在网络安全法颁布之前,无论是全国人民代表大会常务委员会关于加强网络
4、信息保护的决定还是消费者权益保护法、征信业管理条例,乃至之后颁布的民法总则等均强调的是对于个人信息的收集需要获得数据主体的同意,而并未要求非个人信息的收集行为也须获得数据主体的同意。因此,本条第三款实际在很大程度上提高了对于用户信息收集行为的要求。第5章 网络空间安全个人信息保护法律法规【法律法规衔接问题】网络安全法第四章专门规定了网络运营者的用户信息保护义务,但其义务主体为网络运营者,并不能完全覆盖网络产品和网络服务的提供者。随着越来越多的网络产品和服务具有收集用户信息的功能,也为用户信息安全带来了风险,因此,有必要对网络产品、服务提供者收集用户信息的行为加以规范。本条第三款规定的网络产品和
5、服务提供者的用户信息保护规则,与第四章网络运营者的用户信息保护规定共同为用户信息提供了更为全面的保护。第5章 网络空间安全个人信息保护法律法规此外,除了网络安全法,全国人民代表大会常务委员会关于加强网络信息保护的决定、民法总则、消费者权益保护法、刑法、广告法、测绘法、公共图书馆法、最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释、征信业管理条例、地图管理条例等法律、行政法规中均有涉及个人信息保护的相关规定。网络安全法中的个人信息保护规定与上述法律法规中个人信息保护相关规定一起共同构建了我国个人信息保护制度的基本框架和体系。第5章 网络空间安全个人信息保护法律法
6、规第二十四条 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。第5章 网络空间安全个人信息保护法律法规【重点法条解读重点法条解读】本条是关于网络真实身份管理的规定。随着信息时代的到来,网络在社会生产和生活中占据着日趋重要的地位。网络空间中的行为对现实社会中的个人或组织也会产生影响,因此,需要对之加以规范,
7、否则网络空间可能成为违法犯罪行为的避风港。但碍于网络的虚拟性,现实世界中比较容易确认的行为主体问题在网络空间变得愈加困难。为将网络空间的行为与现实的法律关系制度进行对接,规范网络行为,预防、制裁网络犯罪,网络实名制应运而生。第5章 网络空间安全个人信息保护法律法规在网络安全法颁布之前,我国已有一些规范对网络身份管理进行了规定。网络安全法在总结现行规范的基础上,从网络安全基本立法层面确立了网络身份管理制度。从本条的规定来看,需真实身份认证的主体为用户,这里的用户既包括自然人,也包括法人及其他组织。应当进行真实身份认证的业务包括:1.网络接入、域名注册服务;2.固定电话、移动电话等入网手续;3.信
8、息发布、即时通讯等服务。此外,需要注意的是,与2012年的人大决定的规定相比,在应当落实真实身份认证的业务中,网络安全法新增了“域名注册服务”、“即时通讯服务”。第5章 网络空间安全个人信息保护法律法规 网络安全法在总结现行规范的基础上,从网络安全基本立法层面确立了网络身份管理制度。从本条的规定来看,需真实身份认证的主体为用户,这里的用户既包括自然人,也包括法人及其他组织。应当进行真实身份认证的业务包括:1.网络接入、域名注册服务;2.固定电话、移动电话等入网手续;3.信息发布、即时通讯等服务。此外,需要注意的是,与2012年的人大决定的规定相比,在应当落实真实身份认证的业务中,网络安全法新增
9、了“域名注册服务”、“即时通讯服务”。第5章 网络空间安全个人信息保护法律法规【法律法规衔接问题法律法规衔接问题】网络安全法颁布之后,为落实本条的规定,一些配套规范中对真实身份认证做出了规定。主要包括:2017年5月,网信办发布了互联网新闻信息服务管理规定。该规定于2017年6月1日起施行,明确了互联网新闻信息服务提供者为用户提供互联网新闻信息传播平台服务的,应当按照网络安全法的规定,要求用户提供真实身份信息;用户不提供真实身份信息的,不得为其提供相关服务。第5章 网络空间安全个人信息保护法律法规2017年8月,工信部通过了互联网域名管理办法,2004年11月5日公布的中国互联网络域名管理办法
10、同时废止。该办法要求申请设立域名注册管理机构、域名注册服务机构的应当具有进行真实身份信息核验和用户个人信息保护的能力,并明确域名注册服务机构提供域名注册服务的,应当要求域名注册申请者提供域名持有者真实、准确、完整的身份信息等域名注册信息,并进行核验;信息不准确、不完整的,应当要求其予以补正。申请者不补正或者提供不真实的域名注册信息的,不得为其提供域名注册服务。第5章 网络空间安全个人信息保护法律法规2017年8月,网信办通过了互联网跟帖评论服务管理规定,该规定明确跟帖评论服务提供者应当按照“后台实名、前台自愿”原则,对注册用户进行真实身份信息认证,不得向未认证真实身份信息的用户提供跟帖评论服务
11、。此外,2017年1月,国务院法制办公室公布了未成年人网络保护条例(送审稿)公开征求意见,其中明确规定了网络游戏服务提供者应当要求网络游戏用户提供真实身份信息进行注册,有效识别未成年人用户,并妥善保存用户注册信息。第5章 网络空间安全个人信息保护法律法规第二第二节节 关键信息基础设施的运行关键信息基础设施的运行安全安全第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。第5章 网络空间安全个人信息保护法律法规【
12、重点法条解读重点法条解读】本条是关于数据本地化和数据出境安全评估的规定。随着信息化水平的提高,关键信息基础设施中存储着大量的关涉国家安全、国计民生、公共利益的个人信息和重要数据。为降低个人信息和重要数据的安全风险,同时也为执法、司法等需要,本条规定了关键信息基础设施的运营者在中国境内运营和产生的个人信息和重要数据原则上均应在中国境内存储。但要求相关数据境内存储并不意味着绝对禁止数据出境。本条确立了数据出境安全评估制度。因业务需要,确需向境外提供的,符合相关的安全评估要求后,可以出境。本条还明确了数据出境评估办法由国家网信部门会同有关部门制定。此外,本条也为数据出境的规范留下了较大的空间,明确了
13、其他法律和行政法规可对此做出特殊规定,为本条与现行其他规范的衔接及未来相关规范的出台预留了接口。第5章 网络空间安全个人信息保护法律法规【难点问题解析难点问题解析】如何理解“业务需要,确需向境外提供”以及如何进行安全评估?2017年4月11日,国家互联网信息办公室发布了个人信息和重要数据出境安全评估办法(征求意见稿)。根据该征求意见稿的规定,不仅是关键信息基础设施的个人信息和重要数据出境需要进行评估,其他的网络运营者涉及个人信息和重要数据出境的,也需要进行安全评估;且针对个人信息,除数据出境具有必要性外,还需要获得信息主体的同意。但该意见稿将安全评估方式划分为自评估和主管部门评估两种,对于未达
14、到一定数量的个人信息,以及不涉及特定领域的重要数据出境,仅需网络运营者自行评估即可。对于达到一定量级的个人信息以及特定领域的重要数据,以及涉及关键信息基础设施中的个人信息和重要数据出境的,必须由相关主管部门组织评估,安全评估符合条件才可出境。第5章 网络空间安全个人信息保护法律法规2017年5月27日,全国信息安全标准化委员会公布了信息安全技术 数据出境安全评估指南(草案),对于数据出境的评估流程和评估要点等做了进一步的细化规定,明确所有数据的出境均应当满足合法正当且风险可控的要求,并对个人信息出境和重要数据出境的评估要点分别加以明确。其中,该草案对于“因业务需要,却需向境外提供”做出了细化的
15、指引,即满足数据出境的最小化原则向境外传输的数据应与出境目的相关的业务功能有直接关联。直接关联是指没有该信息的参与,相应功能无法实现;向境外自动传输的数据频率应是与数据出境目的相关的业务功能所必需的最低频率;向境外传输的数据数量应是与数据出境目的相关的业务功能所必需的最低数量。2017年8月25日,信息安全技术数据出境安全评估指南(征求意见稿)发布,对重要数据的概念、行业主管部门的评估工作等进行了修改,增强了数据跨境和本地化遵从的可操作性。第5章 网络空间安全个人信息保护法律法规【法律法规衔接问题法律法规衔接问题】本条规定了关键信息基础设施中的个人信息和重要数据出境的一般规则,但也明确了“法律
16、、行政法规另有规定的,依照其规定”,为本条与现行其他规范的衔接及未来相关规范的出台预留了接口。从现行规范来看,数据本地化和数据出境相关规定主要散见于各部门规章和部门规范性文件中,例如,2011年中国人民银行发布的中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知明确规定“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。第5章 网络空间安全个人信息保护法律法规第四第四章章 网络信息安全网络信息安全第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。【重点法条解读】本条规定了用户信息保护制度。随着信息技术的发展,信息,尤其是个人信息的收集、使
17、用现象愈加普遍,随之而来的隐私保护问题、数据歧视问题、信息泄露问题也带来了诸多隐患。在此背景下,为保护用户信息,亟需对信息的收集处理行为加以规范。本条明确了网络运营者应建立用户信息保护制度。此处的“用户”既包括自然人,也包括法人及其他组织。“用户信息”也不限于个人信息。但由于个人信息保护面临的问题更为突出,用户信息保护制度的重点仍在于保护个人信息。第5章 网络空间安全个人信息保护法律法规第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律
18、、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。第5章 网络空间安全个人信息保护法律法规【重点法条解读重点法条解读】本条规定了网络运营者收集使用个人信息的基本原则。本条采用了国际上个人信息保护规范的通行做法,规定了个人信息收集使用的基本原则包括:合法正当原则、必要原则、公开原则、知情同意原则、目的明确原则及目的限制原则等。第5章 网络空间安全个人信息保护法律法规其中,合法正当原则是指个人信息收集使用的方式、目的应当基于正当的目的,符合法律法规的规定;必要原则是指网络运营者应仅收集与其提供的服务相关的、必要的个人信息,不得收集与
19、服务无关的个人信息。公开原则是指网络运营者应当公开其个人信息收集使用的规则,并明示其收集、使用信息的目的、方式和范围;知情同意原则是指网络运营者收集使用个人信息时,应当确保信息主体的知情权,并征得数据主体的同意,未经同意,不得收集处理个人信息。目的明确原则是指网络运营者收集使用个人信息应具有具体的处理目的。目的限制原则是指网络运营者不得违反双方约定收集使用信息,未获得信息主体的授权,不得改变个人信息的处理目的。第5章 网络空间安全个人信息保护法律法规【难点问题解析难点问题解析】知情同意原则如何落实?知情同意原则是个人信息保护的重要机制,也是目前国际上的通行做法。欧盟2018年实施的一般数据保护
20、条例、OECD1980年颁布的关于隐私保护与个人数据跨界流通的指导方针等均将数据主体的“同意”作为个人信息处理重要的合法性基础。但与国际上的通行做法略有不同的是,本条将数据主体的同意作为个人信息处理的唯一的合法性基础,未规定任何例外的情形。因此,知情同意原则在我国个人信息保护框架中显得尤为重要。第5章 网络空间安全个人信息保护法律法规但是,从目前的立法来看,我国对于知情同意原则的规定相对抽象,缺乏可操作性。何为有效的告知,何为有效的同意缺乏明确的指引。加之技术及数据处理场景的复杂性,在具体的个人信息处理场景中应如何切实有效地落实知情同意原则不仅面临着法律适用难题,在有些场景中也面临着技术难题。
21、在实践中,网络运营商的告知是否属于有效的告知,征得数据主体的同意是否属于有效的同意,需要根据告知的时间、告知的内容、告知的方式,征求同意的内容、方式,以及收集使用的个人信息的类型、敏感性程度、信息所面临的安全风险等级等因素综合考量。第5章 网络空间安全个人信息保护法律法规【法律法规衔接问题法律法规衔接问题】关于知情同意原则,全国人民代表大会常务委员会关于加强网络信息保护的决定、消费者权益保护法、最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释、征信业管理条例、地图管理条例、电信和互联网用户个人信息保护规定中均做出了与本条类似的规定。第5章 网络空间安全个人信息
22、保护法律法规需要注意的是,2014年施行的最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定第十二条对个人信息的公开行为做出了规定。该规定与本条规定有很大的不同。该条明确了网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料等个人隐私和其他个人信息,造成他人损害的应当承担侵权责任,但规定了以下例外:(1)经自然人书面同意且在约定范围内公开;(2)为促进社会公共利益且在必要范围内;(3)学校、科研机构等基于公共利益为学术研究或者统计的目的,经自然人书面同意,且公开的方式不足以识别特定自然人;(4)自然人自行在网络上公开的信息或者其他已合法公开的
23、个人信息;(5)以合法渠道获取的个人信息;(6)法律或者行政法规另有规定。从该条来看,除了获得数据主体的同意之外,个人信息的公开行为至少还有其四项合法性基础。但鉴于网络安全法的位阶高于该司法解释,目前,关于同意规则的规定,仍应当适用本条的规定。第5章 网络空间安全个人信息保护法律法规第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施
24、,按照规定及时告知用户并向有关主管部门报告。第5章 网络空间安全个人信息保护法律法规【重点法条解读重点法条解读】本条规定了个人信息的公开规则以及网络运营者的安全保障义务。1.个人信息的公开规则个人信息的公开规则本条并未采用“公开”个人信息的表述,而是用“提供”。这里的“提供”宜理解为包括向特定对象的共享行为,向不特定公众的披露行为;包括数据控制者在继续持有个人信息基础上向第三方的传输行为,以及数据控制者不再保有个人信息而向第三方的转让行为。根据本条的规定,网络运营者向他人提供个人信息的,应当获得信息主体的同意。但随之而来的但书,又做出了例外的规定,即对个人信息进行匿名化处理,达到无法识别特定个
25、人且不能复原的程度的不受前述规则的约束。第5章 网络空间安全个人信息保护法律法规2.网络运营者的安全保障义务网络运营者的安全保障义务随着网络运营者收集使用个人信息的行为日益普遍,网络运营者掌握着大量的个人信息。仅仅依靠信息主体自身的安全意识和自我行为并不能保障这些信息的安全,防范信息的滥用给信息主体带来的风险。因此,对于网络运营者安全保障义务的规定显得尤为必要。除本条外,民法总则、消费者权益保护法等诸多法律法规均对网络运营者的信息安全保障义务做出了规定。根据本条的规定,网络运营者的安全保障义务包括:1)保障信息的完整性、保密性和可用性义务网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络空间安全法律法规 网络 空间 安全 法律法规 课件